Migrar para um novo circuito de Rota Expressa
Se quiser mudar de um circuito de Rota Expressa para outro, convém fazê-lo sem problemas com o mínimo de interrupção do serviço. Este documento ajuda você a seguir as etapas para migrar o tráfego de produção sem causar grandes interrupções ou riscos. Você pode usar esse método se estiver mudando para um novo ou o mesmo local de emparelhamento.
Se você tiver seu circuito de Rota Expressa por meio de um provedor de serviços de Camada 3, crie o novo circuito sob sua assinatura no portal do Azure. Trabalhe com o seu fornecedor de serviços para mudar o tráfego sem problemas para o novo circuito. Depois que o provedor de serviços tiver desprovisionado seu circuito antigo, exclua-o do portal do Azure.
O restante do artigo se aplica a você se você tiver seu circuito de Rota Expressa por meio de um provedor de serviços de Camada 2 ou portas diretas de Rota Expressa.
Etapas para a migração perfeita do circuito ExpressRoute
O diagrama acima ilustra o processo de migração de um circuito de Rota Expressa existente, referido como Circuito A, para um novo circuito de Rota Expressa, referido como Circuito B. O Circuito B pode estar no mesmo local de emparelhamento ou em um local de emparelhamento diferente do Circuito A. O processo de migração consiste nas seguintes etapas:
Implantar o Circuito B isoladamente: enquanto o tráfego continuar a fluir pelo Circuito A, implante um novo Circuito B sem afetar o ambiente de produção.
Bloquear o fluxo de tráfego de produção no Circuito B: Impeça que qualquer tráfego use o Circuito B até que ele seja totalmente testado e validado.
Completar e validar a conectividade de ponta a ponta do Circuito B: Certifique-se de que o Circuito B possa estabelecer e manter uma conexão estável e segura com todos os pontos finais necessários.
Alternar o tráfego: Redirecionar o fluxo de tráfego do Circuito A para o Circuito B e bloquear o fluxo de tráfego no Circuito A.
Descomissionar o Circuito A: Remova o Circuito A da rede e libere seus recursos.
Implante um novo circuito isoladamente
Para uma substituição individual do circuito existente, selecione a opção Resiliência padrão e siga as etapas descritas no guia Criar um circuito com Rota Expressa para criar seu novo circuito de Rota Expressa (Circuito B) no local de emparelhamento desejado. Em seguida, siga as etapas em Configurar emparelhamento para circuito de Rota Expressa para configurar os tipos de emparelhamento necessários: private e Microsoft.
Para evitar que o tráfego de produção de emparelhamento privado use o Circuito B antes de testá-lo e validá-lo, não vincule o gateway de rede virtual que tenha implantação de produção ao Circuito B. Da mesma forma, para evitar que a Microsoft emparelhe o tráfego de produção usando o Circuito B, não associe um filtro de rota ao Circuito B.
Bloquear o fluxo de tráfego de produção no circuito recém-criado
Impeça o anúncio de rota sobre o(s) novo(s) emparelhamento(s) nos dispositivos CE.
Para o Cisco IOS, você pode usar a route-map
e a prefix-list
para filtrar as rotas anunciadas em um emparelhamento BGP. O exemplo a seguir mostra como criar e aplicar a route-map
e a prefix-list
para essa finalidade:
route-map BLOCK ADVERTISEMENTS deny 10
match ip address prefix-list BLOCK-ALL-PREFIXES
ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32
router bgp <your_AS_number>
neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS out
neighbor <neighbor_IP_address> route-map BLOCK-ADVERTISEMENTS in
Use a política de exportação/importação para filtrar as rotas anunciadas e recebidas no(s) novo(s) emparelhamento(s) nos dispositivos Junos. O exemplo a seguir mostra como configurar a política de exportação/importação para essa finalidade:
user@router>show configuration policy-options policy-statement BLOCK-ALL-ROUTES
term reject-all {
the reject;
}
protocols {
bgp {
group <your_group_name> {
neighbor <neighbor_IP_address> {
export [ BLOCK-ALL-ROUTES ];
import [ BLOCK-ALL-ROUTES ];
}
}
}
}
Validar a conectividade de ponta a ponta do circuito recém-criado
Peering privado
Siga as etapas em Conectar uma rede virtual a um circuito de Rota Expressa para vincular o novo circuito ao gateway de uma rede virtual de teste e verificar sua conectividade de emparelhamento privado. Depois de vincular redes virtuais ao circuito, examine a tabela de rotas do emparelhamento privado do circuito e verifique se o espaço de endereçamento da rede virtual está incluído na tabela. O exemplo a seguir mostra uma tabela de rotas do emparelhamento privado de um circuito ExpressRoute no portal de Gerenciamento do Azure:
O diagrama a seguir ilustra uma VM de teste configurada em uma rede virtual de teste e um dispositivo de teste localizado no local para verificar a conectividade no emparelhamento privado da Rota Expressa.
Modifique o mapa de rotas ou a configuração de política que você aplicou para filtrar as rotas anunciadas e permitir o endereço IP específico do dispositivo de teste localmente. Da mesma forma, permita o espaço de endereço da rede virtual de teste do Azure.
route-map BLOCK ADVERTISEMENTS permit 5
match ip address prefix-list PERMIT-ROUTE
route-map BLOCK ADVERTISEMENTS deny 10
match ip address prefix-list BLOCK-ALL-PREFIXES
ip prefix-list PERMIT-ROUTE seq 10 permit 10.17.1.0/24
ip prefix-list PERMIT-ROUTE seq 20 permit 10.1.18.10/32
ip prefix-list BLOCK-ALL-PREFIXES seq 10 deny 0.0.0.0/0 le 32
Para permitir prefixos IP específicos para dispositivos de teste no Junos, configure uma lista de prefixos. Em seguida, configure a política de importação/exportação de BGP para permitir esses prefixos e rejeitar todo o resto.
user@router>show configuration policy-options policy-statement BLOCK-ADVERTISEMENTS
term PERMIT-ROUTES {
from {
prefix-list PERMIT-ROUTE;
}
then accept;
}
term reject-all {
then reject;
}
user@router>show configuration policy-options prefix-list PERMIT-ROUTE
10.1.18.10/32;
10.17.1.0/24;
Verifique a conectividade de ponta a ponta no emparelhamento privado. Por exemplo, você pode executar ping na VM de teste no Azure a partir do seu dispositivo de teste local e verificar os resultados. Para obter uma validação detalhada passo a passo, consulte Verificando a conectividade da Rota Expressa.
Peering da Microsoft
A verificação do emparelhamento da Microsoft requer um planejamento cuidadoso para evitar qualquer efeito no tráfego de produção. Você precisa usar prefixos distintos para o emparelhamento Microsoft do Circuito B que são diferentes dos usados para o Circuito A, para evitar quaisquer conflitos de roteamento entre os dois circuitos. Você também precisa vincular o emparelhamento da Microsoft do Circuito B a um filtro de rota separado daquele vinculado ao Circuito A, seguindo as etapas em Configuração de filtros de rota para emparelhamento da Microsoft. Além disso, você precisa garantir que os filtros de rota para ambos os circuitos não tenham rotas comuns anunciadas para a rede local, para evitar roteamento assimétrico entre o Circuito A e o Circuito B. Para isso, você pode:
- selecionar um serviço ou uma região do Azure para testar o Circuito B que não é usado pelo tráfego de produção no Circuito A, ou
- minimizar a sobreposição entre os dois filtros de rota e permitir apenas pontos finais públicos de teste mais específicos recebidos através do Circuito B
Depois de vincular um filtro de rota, você precisa verificar as rotas que são anunciadas e recebidas através do emparelhamento BGP no dispositivo CE. Para filtrar as rotas anunciadas e permitir que apenas os prefixos locais do emparelhamento da Microsoft e o endereço IP específico dos pontos de extremidade públicos selecionados da Microsoft sejam testados, você precisa modificar o mapa de rota ou a configuração da política Junos que você aplicou.
Para testar a conectividade com pontos de extremidade do Microsoft 365, siga as etapas em Implementando o ExpressRoute para Microsoft 365 – Crie seus procedimentos de teste. Para pontos de extremidade públicos do Azure, você pode começar com testes básicos de conectividade, como traceroute local, e verificar se a solicitação passa por pontos de extremidade de Rota Expressa. Além dos pontos de extremidade da Rota Expressa, as mensagens ICMP são suprimidas na rede da Microsoft. Você também pode testar a conectividade no nível do aplicativo, além de testes básicos de ping. Por exemplo, se você tiver uma VM do Azure com IP público do Azure executando um servidor Web, poderá tentar acessar o IP público do servidor Web de sua rede local por meio da conexão ExpressRoute. Isso ajuda você a confirmar que tráfego mais complexo, como solicitações HTTP, pode acessar os serviços do Azure.
Alternar o tráfego de produção
Peering privado
- Desconecte o Circuito B de todos os gateways de rede virtual de teste aos quais você o conectou.
- Remova quaisquer exceções que você tenha feito para os mapas de rota da Cisco ou para a política Junos.
- Siga as etapas em Conectar uma rede virtual a um circuito de Rota Expressa e conecte o Circuito B ao(s) gateway(s) de rede virtual de produção.
- No CE, certifique-se de que está pronto para anunciar todas as rotas que está atualmente a anunciar no Circuito A, no Circuito B quando remover o mapa de rotas ou a política aplicada às interfaces do Circuito B no CE. Isso também inclui garantir que as interfaces do Circuito B estejam associadas ao VRF apropriado ou à instância de roteamento, se houver.
- Remova os mapas de rota ou a política nas interfaces do Circuito B. Aplique os mapas de rota ou a política nas interfaces do Circuito A para bloquear o anúncio de rota no Circuito A. Isto irá alterar o fluxo de tráfego através do Circuito B.
- Verifique o fluxo de tráfego no Circuito B. Se a verificação falhar, desfaça o mapa de rota ou a associação de firewall que você fez na etapa anterior e alterne o fluxo de tráfego de volta pelo Circuito A.
- Se a verificação do fluxo de tráfego no Circuito B for bem-sucedida, exclua o Circuito A.
Peering da Microsoft
- Remova o Circuito B de qualquer filtro de rota do Azure de teste ao qual você o vinculou.
- Remova todas as exceções feitas aos mapas de rota ou à política.
- No CE, certifique-se de que a interface do Circuito B está associada ao VRF apropriado ou à instância de roteamento.
- Valide e confirme o prefixo anunciado no emparelhamento da Microsoft.
- Associe o emparelhamento Microsoft do Circuito B ao filtro de rota do Azure atualmente associado ao Circuito A.
- Remova os mapas de rota ou a política de exportação/importação nas interfaces do Circuito B. Aplique os mapas de rota ou a política de exportação/importação nas interfaces do Circuito A para bloquear o anúncio de rota no Circuito A. Isto irá alterar o fluxo de tráfego através do Circuito B.
- Verifique o fluxo de tráfego no Circuito B. Se a verificação falhar, desfaça o mapa de rota ou a associação de política que você fez na etapa anterior e alterne o fluxo de tráfego de volta pelo Circuito A.
- Se a verificação do fluxo de tráfego no Circuito B for bem-sucedida, exclua o Circuito A.
Próximo passo
Para obter mais informações sobre a configuração do roteador, consulte Exemplos de configuração do roteador para configurar e gerenciar o roteamento.